Cómo tratamos tus datos

Decretum Studio (en adelante, “Decretum Studio”) es una plataforma SaaS para despachos jurídicos mexicanos, operada por Santiago Serrano con domicilio en Avenida Reforma 222, piso 12, colonia Juárez, alcaldía Cuauhtémoc, Ciudad de México, C.P. 06600.

Para efectos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), Decretum Studio actúa con dos roles distintos:

• Como Responsable respecto a los datos personales que el usuario aporta directamente al crear y usar su cuenta de la plataforma (este aviso los regula).
• Como Encargado respecto a los datos personales que el despacho contratante carga en sus expedientes; el despacho permanece como Responsable de esos datos y los rige su propio aviso de privacidad.

Para consultas sobre este aviso o ejercicio de derechos ARCO, escribe a privacidad@decretumstudio.com.

Recolectamos y tratamos las siguientes categorías:

• Identificación: nombre, apellidos, correo electrónico, teléfono.
• Profesionales: cargo en el despacho, cédula profesional.
• Cuenta: nombre de usuario, contraseña cifrada (administrada por AWS Cognito), preferencias de notificación.
• Fiscales del despacho: RFC, razón social, domicilio fiscal, régimen.
• Operativos: expedientes, partes procesales, plazos, eventos, notas internas y documentos que cargues a la plataforma.
• Técnicos: dirección IP, user-agent, fechas de acceso, identificadores de sesión y cookies estrictamente necesarias.
• Pago: cuando aplique, datos de tarjeta procesados directamente por Stripe Inc. — el número completo (PAN) y CVV nunca tocan nuestros servidores.
• Integraciones: si activas Google Calendar, recibimos tu correo de Google y un refresh token limitado al alcance calendar.events. No leemos eventos creados fuera de Decretum Studio.

No recabamos datos personales sensibles sobre ti como usuario de la plataforma. Cualquier dato sensible que cargues en tus expedientes (referido a tus clientes finales) lo tratamos únicamente como Encargado y bajo tu responsabilidad como despacho.

Necesarias (sin estas no podemos prestar el servicio):

• Autenticar tu identidad y darte acceso a la plataforma.
• Asociar tu cuenta al despacho contratante bajo aislamiento multi-tenant.
• Operar el producto: calcular plazos procesales, generar documentos, resguardar expedientes, enviar notificaciones de vencimientos y asignaciones.
• Mantener registros de auditoría inmutables para tu cumplimiento profesional y legal.
• Procesar el pago de la suscripción del despacho y emitir CFDI 4.0.
• Atender requerimientos de autoridades competentes.

Secundarias (puedes oponerte sin afectar el servicio):

• Enviarte comunicaciones sobre nuevas funciones del producto.
• Encuestas de satisfacción y telemetría agregada para mejorar el producto.

Para oponerte, escribe a privacidad@decretumstudio.com con la palabra OPT-OUT en el asunto. Tomamos acción en 5 días hábiles.

El uso por parte de Decretum Studio de información obtenida de las APIs de Google se apega a la Google API Services User Data Policy, incluyendo los requisitos de uso limitado.

• Solo accedemos al alcance mínimo necesario (calendar.events + userinfo.email).
• No transferimos los datos de Google a terceros distintos de los necesarios para operar el servicio (proveedores de hosting bajo contrato).
• No usamos los datos de Google para entrenar modelos de IA.
• Puedes revocar el acceso en cualquier momento desde myaccount.google.com/permissions o desde Configuración → Integraciones en Decretum Studio.

Decretum Studio no transfiere datos personales con fines comerciales. Existen transferencias técnicas estrictamente necesarias para operar el servicio, todas bajo acuerdo contractual (DPA) que obliga a los terceros al mismo nivel de protección que esta política.

El inventario completo y actualizado de subencargados se publica como anexo de este aviso. Te notificaremos con 30 días de antelación de cualquier nueva incorporación. Tienes derecho a objetar.

Categorías principales: infraestructura técnica (AWS, Neon, Coolify), inteligencia artificial con redacción de PII (Anthropic, OpenAI), mensajería transaccional (Resend, Pusher), procesamiento de pagos (Stripe) y facturación electrónica (Facturama).

Tienes en todo momento los derechos de Acceso, Rectificación, Cancelación y Oposición sobre tus datos personales. Para ejercerlos, envía solicitud a privacidad@decretumstudio.com incluyendo:

1. Tu nombre completo y medio para recibir respuesta.
2. Documentos que acrediten tu identidad o, en su caso, la representación legal.
3. Descripción clara y precisa de los datos personales respecto de los cuales buscas ejercer alguno de los derechos.
4. Cualquier otro elemento que facilite la localización de los datos.

Respondemos en máximo 20 días hábiles conforme al art. 32 de la LFPDPPP y, de proceder, hacemos efectiva la acción en 15 días hábiles adicionales. Conservamos solicitud y respuesta por 5 años como prueba de cumplimiento.

Puedes revocar tu consentimiento en cualquier momento mediante correo a privacidad@decretumstudio.com. La revocación implica la baja de tu cuenta; tus datos serán cancelados conforme a los plazos legales (mínimo 5 años por obligaciones fiscales).

Puedes solicitar limitar el uso o divulgación de tus datos por la misma vía. Si procede, te inscribimos en nuestro Listado de Exclusión interno en 30 días hábiles.

Los datos se conservan mientras el despacho contratante mantenga su suscripción activa, más los plazos legales aplicables (fiscal, civil, profesional). Al terminar la relación contractual, ofrecemos exportación de datos durante 30 días y posteriormente procedemos a su eliminación segura, salvo obligación legal de conservación.

Decretum Studio aplica medidas administrativas, técnicas y físicas para proteger los datos:

• Cifrado en tránsito (TLS 1.3 con HSTS).
• Cifrado en reposo de campos personales sensibles con AES-256-GCM (RFC, CURP, email, teléfono, domicilio, notas, contenido OCR de documentos, snapshot de auditoría).
• Aislamiento estricto entre despachos vía Row-Level Security de PostgreSQL en cada tabla.
• Autenticación con AWS Cognito; MFA disponible y opcional.
• Registros de acceso inmutables (append-only) con cadena criptográfica de integridad SHA-256.
• Backups cifrados con prueba periódica de restauración.
• Pruebas de seguridad continuas, monitoreo de errores y respuesta a incidentes documentada.
• Acuerdos contractuales de confidencialidad con todos los subencargados.

Usamos cookies estrictamente necesarias para mantener tu sesión, recordar tus preferencias y proteger la plataforma contra abuso. No usamos cookies publicitarias ni de seguimiento entre sitios.

La autoridad competente en materia de protección de datos personales en México es la Secretaría Anticorrupción y Buen Gobierno (sucesora del INAI tras la reforma de marzo de 2025). Si consideras que tus derechos no fueron atendidos, puedes presentar denuncia ante dicha autoridad.

Notificaremos modificaciones materiales por correo y dentro del producto con al menos 30 días de anticipación. La versión vigente se publica siempre en esta URL con su fecha de actualización al inicio.